¿El uso de SSL para proteger el área de administración de Wordpress solo será realmente seguro?

Navega tus respuestas
2

La gran mayoría de nuestro sitio web no contiene información confidencial, inicios de sesión, formularios, etc. Sin embargo, hay partes controladas por wordpress, por lo que estamos buscando obtener SSL para proteger estas áreas.

Hay muchos artículos en Internet que indican cómo proteger las áreas de administración para fortalecer el sitio de wordpress, sin embargo, si la persona con credenciales se encuentra en una sesión activa y busca otra parte del sitio que no está ' t bajo SSL (por ejemplo, para revisar la publicación que acaban de publicar), ¿no anularía eso los esfuerzos para asegurar la sesión? ¿O soy una dama loca que no entiende cómo funciona esto?

Si lo anulara, ¿cómo se asegura la interfaz de administración? ¿Es HTTPS una cosa de todo o nada? Ya tenemos el contenido fuera de la instalación, por lo que solo ayuda enormemente a fortalecer el sitio en general, sin embargo, no queremos que las páginas de inicio de sesión y las cookies de sesión salgan con los pantalones alrededor de los tobillos.

    
pregunta kristina childs 29.03.2013 - 23:50
fuente

2 respuestas

2

En términos generales, eso es cierto. Las solicitudes autenticadas (solicitudes que contienen cookies u otra información de estado que identifica a un usuario específico) solo deben realizarse a través de HTTPS para que esos datos permanezcan razonablemente seguros.

Sin embargo, en este caso en particular, puede haber una alternativa potencial, que es establecer el atributo "seguro" en las cookies y tratar a los usuarios como no autenticados en páginas que no sean HTTPS. Si no es necesario que se autentiquen en las páginas que no son de administración, al establecer la marca de seguridad en las cookies se asegurará de que no se envíen junto con las solicitudes a las páginas que no son de administración que no están protegidas por SSL.

Por lo tanto, si las cookies deben enviarse con cada solicitud, cada solicitud debe ser HTTPS. Si no lo hacen, entonces estará igualmente seguro simplemente asegurándose de que las cookies no se envíen, excepto cuando la solicitud esté protegida por SSL.

    
respondido por el Xander 30.03.2013 - 00:06
fuente
0

Si solo usa HTTPS para la sección de administración, todavía terminará transmitiendo su ID de sesión en texto sin formato cuando navega por el resto del sitio. Para mantenerlo seguro, debe utilizar HTTPS en todo el sitio.

    
respondido por el Polynomial 30.03.2013 - 00:06
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el origen de los tres factores de autenticación? ¿Qué dispositivos / tipos de dispositivos tienen típicamente números de identificación asociados únicos?